6‎ > ‎2‎ > ‎

t

Heartbleed Предоставляет Неполадки с Open Source, но это не, что вы думаете

Heartbleed-оранжевый Heartbleed не произошло, потому что OpenSSL с открытым исходным кодом, но это не значит, проект не имеет проблем. Chrsitina-Уоррен-выстрел в голову-кв По Кристина Уоррен 2014-04-15 2:27:55 UTC

Через неделю после уязвимости Heartbleed OpenSSL сеют хаос в Интернете, разговор переходит от реакции на отражение. не обсуждение идет уже не о том, что делать сейчас, но что можно сделать, чтобы предотвратить еще Heartbleed от повторения в будущем. Другими словами, мы входим в главу виноватых в этой саге.

Так кто же виноват в Heartbleed?

Смотрите также: Хит-лист Heartbleed: Пароли вам нужно изменить прямо сейчас

Если OpenSSL, пакет программного обеспечения в корне уязвимости, были кусок коммерческого программного обеспечения, мы могли обвинить компанию за приложение. На самом деле, когда Apple, опубликованном экстренное исправление для собственного ошибки SSL / TLS еще в феврале, компания была тщательно экспертами по безопасности, программистов и ученых мужей, как.

Но OpenSSL не коммерческая программа. Это проект с открытым исходным кодом поддерживается небольшой группой коммиттеров и волонтеров.

Поскольку OpenSSL с открытым исходным кодом, там не является непосредственным фигура или организация виноват. Неужели мы будем виноваты неоплаченные инженеров программного обеспечения, которые совершают в проект, что 66% Интернет использует бесплатно?

Так что если вы не можете винить сущность - первый регресса для некоторых - это модель самой открытого программного обеспечения в этом виноват?

Закон Линуса не преминул

За последние 15 лет, программное обеспечение с открытым исходным кодом разработала репутацию безопасной и надежной. С открытым исходным кодом код действительно может быть более надежным, чем собственный (или, с закрытым исходным кодом) кода, потому что есть больше пользователей, глядя на него, чтобы найти ошибки и дыры в безопасности.

В семенной эссе Эрика С. Рэймонда на открытом источнике, Собор и базар, он определяет Закон Линуса (названный по имени отца Linux ядро, Линус Торвальдс), в котором говорится, что "чем больше глаз, все ошибки лежат на поверхности." Другими словами. Если достаточное количество пользователей ищут на код, ошибки и проблемы будет найдено.

Раймонд утверждает, что это различие является одной из причин, что программное обеспечение с открытым исходным кодом в своей основе безопаснее, чем проприетарный код. В конце концов, он имеет больше людей, глядя на него, способных найти и ремонту ошибки.

На волне Heartbleed и других сбоев безопасности с открытым исходным кодом, некоторые ставят под сомнение все еще держит ли закон Линуса правда.

Аргумент, что если это было коммерчески ценных проект с хорошо финансируемой развития команды профессионалов полный рабочий день, а не волонтеров и коммиттерами что в настоящее время макияжа OpenSSL, процесс кодирования и процесс аудита бы лучше.

Но мы не можем знать, что. SSL / TLS ошибка Apple, (который был намного меньше, чем ошибка Heartbleed по своим масштабам и в угрозу), существует уже более года, прежде чем инженеры Apple, обнаружил ошибку и выпустила патчи. Да, что библиотека была также с открытым исходным кодом, но это было поддержано сотрудниками Apple, и Apple, пришлось одобрить любые помощи извне.

Я кратко мои мысли о том, что означает Heartbleed с открытым исходным кодом на Твиттере на прошлой неделе:

не Heartbleed больше нет обвинительное заключение с открытым исходным кодом, чем SSL ошибка яблока является обвинительным актом закрытых системах. Дерьмо случается. Period.- Кристина Уоррен (film_girl) 10 апреля 2014

Хотя я не согласен с Раймондом, что с открытым исходным кодом является более безопасным, чем другие типы кода, я с ним согласен, что Heartbleed не опровергает Линуса Закон. Да, ошибка Heartbleed пошел неопознанный более двух лет, но он был пойман - и поймал двух разных сторон - потому что код был открыт.

Heartbleed не провал с открытым исходным кодом, по крайней мере, не так, как вы думаете. Там нет абсолютно никаких оснований полагать, что Heartbleed произошло потому, что это было проектом с открытым исходным кодом на питание от добровольцев.

Но если Heartbleed не опровергает закон Линуса, это не значит, что эта ситуация по-прежнему не обратить внимание общественности на то, что действительно может помешать проект с открытым исходным кодом: нехватка ресурсов.

Open Source

Один из признаков программного обеспечения с открытым исходным кодом - в самом деле, большая часть его обращения - это то, что он может свободно использовать и модифицировать.

Программное обеспечение с открытым исходным кодом не всегда "бесплатно как в пиве" (как лидер Free Software Foundation и основатель GNU Ричард Столлман любит говорить), но чаще, чем не, компании не должны ничего платить, чтобы получить доступ или реализовать открытость исходный код в свои проекты.

На самом деле, именно это "бесплатно" аспект, который привел к массовой принятия открытых источников в различных отраслях промышленности. Хотя проприетарное программное обеспечение (или программное обеспечение, которое представляет собой смесь служебной и с открытым исходным кодом) по-прежнему доминирует во многих отраслях - с открытым исходным кодом действительно нашел свое место в Интернете.

Microsoft может быть крупнейшим в мире производитель программного обеспечения, но большинство веб-серверов не работают Windows; они бегут Linux и серверных приложений веб например Apache или Nginx. Почему? Потому что обвинения Microsoft для своего программного обеспечения. Для малого бизнеса, работает Linux может трансформироваться в относительно небольших сбережений. Как бизнес растет, однако, эти сбережения могут стать весьма существенным.

Если Facebook или Google пришлось заплатить лицензию для каждого сервера или виртуального сервера он работает - и другой лицензии на его веб-сервера - его бизнес-план было бы совершенно иным.

Это тем более верно, когда с открытым исходным кодом - особенно связанные с серверами и безопасности - есть опыт, который так же хорошо или лучше, чем проприетарные решения.

Кроме того, большая вещь о открытым исходным кодом, что любой может принять проект или часть проекта и построить что-то еще на нем. И в зависимости от лицензии, эти изменения часто приходится делиться со всеми. Это часто приводит к еще более высоких результатов.

Но, конечно, ничто не действительно бесплатно. Поддержание и поддержке ПО - с открытым исходным кодом или нет - имеет стоимость. Майор (как в популярной в размере и в области) с открытым исходным кодом проектов, как правило, финансируется тремя способами:

  1. Пожертвования от частных лиц, добровольцев (по времени или способностей кодирования) и некоммерческих организаций.

  2. Проект финансируется и управляется коммерческой структурой или структурами.

  3. Корпорации, которые используют и извлекают выгоду из сотрудников проката проект, которые предназначены для работы по проекту полный рабочий день.

Распределение Debian Linux финансируется добровольцев и некоммерческих пожертвований. Это один из немногих полностью управляемым обществом проектов без корпоративного спонсора.

Ubuntu, еще один дистрибутив Linux (который основан на Debian), спонсируется Canonical. Волонтеры по-прежнему составляют большую часть проекта, но Canonical гарантирует, что штатных сотрудников оплачиваются.

Red Hat был одним из первых компаний, чтобы построить успешный бизнес прочь с открытым исходным кодом и свободного программного обеспечения. Хотя это делает исходный код для своих проектов, доступных для всех, он продает программное обеспечение и сервисные контракты для своего флагмана Red Hat Enterprise Linux и других продуктов. Red Hat также спонсирует общественные проекты, такие как Fedora и CentOS.

Компании в том числе Red Hat и IBM также пожертвовать сотрудникам работать полный рабочий день на важных проектов, в том числе Linux Kernel.

Проект WebKit, который является основой для браузера Safari (и до 2013 года, Google Chrome), не спонсируется и поддерживается Apple.

За последние 15 лет, большинство компаний, которые принести огромную пользу открытого источника - в том числе, но не ограничиваясь Amazon, Google, Facebook, IBM, Cisco и Twitter - также отдать код, время сотрудников и деньги к проектам, которые наиболее важны для их бизнес и продукт.

Но не каждый проект получает тип внимания или финансирования, который необходим.

OpenSSL: используется многими, при поддержке Мало

Как криптографической стека де-факто SSL / TLS в Интернете, это может быть легко думать, что OpenSSL есть тонны поддержки.

Ведь, как мы узнали от Heartbleed - это не только веб-серверы, использующие OpenSSL. Маршрутизаторы (большие, дорогие, высокого класса маршрутизаторы), межсетевые экраны, смартфоны и другие подключенные устройства все использовать OpenSSL.

Если число людей, которые полагались на проекте - и ее значение для общей сети - было пропорционально связана с количеством поддержки проекта, OpenSSL будет хорошо финансируемые и имеют вес этих очных наемных работников и сопровождающих.

Это не так.

OpenSSL, проект, который работает на 66% от всех веб-серверов, имеет только один сотрудник на полную ставку. Один.

Ситуация становится еще хуже. В течение пяти лет после OpenSSL Software Foundation (OSF) был создан - как способ помочь поддержать проект OpenSSL - это важный проект не получил более $ 1 млн в валовой выручки в год.

Чистые пожертвования проекта являются практически не существует. Стив маркиз, вкладчик OpenSSL, кто обрабатывает бизнес-аспекты ВВП, обратился текущую ситуацию в своем блоге. По маркиз, фундамент, как правило, получает только 2000 долларов в год в виде пожертвований.

Маркиз пишет (курсив наш):

Даже если эти пожертвования продолжают поступать с той же скоростью до бесконечности (они не будут), и даже при том, что каждый пенни из этих средств идет непосредственно на членов команды OpenSSL, это далеко не достаточно, чтобы должным образом поддерживать уровни в рабочей силе, необходимые для поддержки таких сложная и ответственная программный продукт. Хотя OpenSSL значит "принадлежать народу" она не является ни реалистичным, ни необходимости ожидать, что несколько сотен, * или даже несколько тысяч, частные лица предоставляют всю финансовую поддержку. Те, кто следует, способствующие реальные ресурсы являются коммерческие компании и правительства, которые используют OpenSSL широко и принять это как должное. *

Остальная часть денег - что под $ 1 млн фигуры - не от добровольно сотрудников или корпоративной руководством или даже поддержки контрактов. Оно происходит от работы по найму контрактов.

То есть, компании платят члены команды OpenSSL (есть шесть основных коммиттеры - только один из которых в состоянии сделать OpenSSL его полный рабочий день) $ 250 в час, чтобы работать на проекте, связанном с OpenSSL для этой компании.

Даже на $ 250 в час, тот факт, что существуют члены очень мало OpenSSL команды (что частично связано с высокой требования к квалификации и отсутствие гарантированного дохода) означает, что существующие контрактные работы часто неукомплектован, и, таким образом, неоплачиваемый.

Так в чем же выход? Ну, маркиз предпочел бы OpenSSL финансируется через контрактов поддержки. В сносках, он пишет:

Вот плагин для одного из наиболее эффективных способов ваша корпорация может не только поддерживают OpenSSL, но и получают то материального значения взамен: контракт поддержки программного обеспечения. У нас есть официальный контракт с мелким шрифтом, что юристы любят, и ваши кредиторская задолженность люди не будут все смущенный в причудливом понятия раздавать деньги, как они привыкли платить за дорогие коммерческих контрактов поддержки для проприетарного ПО. Однажды вы даже можете столкнуться проблемы с вашей критически важных использования OpenSSL, которые могли бы извлечь выгоду из прямого и оперативного внимания от людей, которые написали этот код.

Он также упоминает о том, что много больших компаний уже воспользовавшись OpenSSL в своих коммерческих продуктах, а не способствующей назад.

Я смотрю на вас, Fortune 1000 компаний. Те, кто относятся OpenSSL в вашем брандмауэра / устройства / облака / финансовых продуктов / безопасности, которые вы продаете на прибыль и / или которые используют его для защиты вашего внутреннего инфраструктуру и коммуникации. Те, кто не имеют финансировать команду в доме программистов пререкаться крипто код, а кто то пилить нам бесплатные консультационные услуги, когда вы не можете выяснить, как использовать его. Те, кто никогда не поднял палец, чтобы внести свой вклад в сообщество с открытым исходным кодом, который дал вам этот дар. Вы знаете, кто вы.

Так в чем же выход?

На Hacker News, некоторые комментаторы критиковали подход в ВВП в делать работу по контракту в качестве способа финансирования проекта. Я думаю, что это справедливая оценка.

Проект природы OpenSSL действительно должны финансироваться за счет контрактов на или корпоративных спонсоров, согласившихся платить зарплату экспертов криптографии работать на OpenSSL полный рабочий день.

При отсутствии неуважения предназначенного к любому члену команды OpenSSL или ВВП, часть проблемы также, кажется, что проект не имеет сильное руководство - по крайней мере, в том, как можно было поставить план в действие, чтобы убедиться, что ресурсы, необходимые, чтобы держать Проект работает успешно (и не на неполный концерт для нескольких людей, и полный рабочий день для одного человека) на месте.

Сам OSF также может сделать лучшую работу будучи прозрачной о том, кто его спонсоры (и характер проектов, которые он работает на), а также делать большие вызовы для финансирования и поддержки контрактов.

Сказав, что, потому что это не коммерческая усилия, его несправедливо провести проект по тем же стандартам, как мы бы коммерческая организация. Может быть, если компании не могут пожертвовать сотрудникам работать над кодом, они могут пожертвовать людей, чтобы помочь с некоторыми из государственно-облицовочных и сбору средств аспектов основания.

Я надеюсь, что крупнейшие компании, которые выигрывают от OpenSSL - особенно те, кто использует программное обеспечение в своих коммерческих продуктах аппаратных и консолей безопасности - увидите Heartbleed как тревожный сигнал. Не отказаться OpenSSL и перейти к платной решения - но, чтобы сделать лучшую работу, дающую обратно в проект и сообщества.

Дополнительная поддержка может также означать больше улучшений в самом коде - и для всего процесса. Да, вполне возможно, что даже с командой хорошо оплачиваемых инженеров, кодовых аудиторов и вспомогательного персонала, Heartbleed еще может случиться. Я бы себе найти эту ошибку было бы как попытка найти опечатку в Улиссе.

Разница в том, что лучше укомплектованы проект будет означать, что внесение изменений и усовершенствований в код-ревизионных и код-процессов обзора будет более реальным. Это делает для лучшего конечного продукта, что означает, что каждый, используя OpenSSL бы преимущества более безопасной, стабильной и многофункциональный продукт.

Heartbleed не произошло, потому что OpenSSL с открытым исходным кодом, это произошло потому, что проект не получил поддержки это необходимо. Будем надеяться, что изменения. И в ближайшее время. Этот проект слишком важен, чтобы слишком много.

Есть, что добавить к этой истории? Поделитесь им в комментариях.

#auto

Subpages (1): f
Comments